1. Tres maneras de reducir los
riesgos de seguridad de los
puntos de conexión de una
fuerza de trabajo remota
2. 2
Tres maneras de reducir los riesgos de seguridad de los puntos
de conexión de una fuerza de trabajo remota
Introducción
Contenido
El apoyo a una fuerza de trabajo remota es una
lección de equilibrio adecuado. Tiene que facilitar
el trabajo a los empleados desde cualquier lugar,
al mismo tiempo que protege los sistemas y los
datos contra amenazas conocidas y desconocidas.
En este documento, explicaremos los beneficios
de un enfoque más flexible y escalable para
proteger los dispositivos de los empleados, los
datos y las identidades de los usuarios en una
fuerza de trabajo dispersa.
1. Administrar y proteger los dispositivos remotos
2. Proteger la información de la empresa
3. Proteger las identidades
3. 3
Microsoft ha sido pionero en un enfoque de
implementación "sin interacción" para Surface
y otros dispositivos con Windows 10, que
aprovechan servicios como Windows Autopilot
e Intune para permitir la configuración segura
y la entrega de dispositivos a los usuarios sin
que el equipo de TI haya tocado físicamente
el equipo.
Este enfoque automatizado y práctica de
autoservicio reduce de horas a minutos el
tiempo para tener un dispositivo nuevo en
funcionamiento. Además, Microsoft recolecta
el ID de dispositivo de cada Surface vendida
y lo almacena en la nube para la administración
de dispositivos.
Unified Extensible Firmware Interface
(UEFI) es un estándar para arrancar
dispositivos y cargar el sistema operativo.
La mayoría de los fabricantes compran
la UEFI a un proveedor de terceros,
que proporciona actualizaciones al
fabricante, el que a su vez distribuye
estas actualizaciones a los clientes.
Por otro lado, Microsoft escribió la UEFI*
en dispositivos Surface, por lo que las
actualizaciones se envían automáticamente
al cliente a través de Windows Update
para empresas, en lugar de tener que
extraerlas manualmente y empaquetarlas
para la entrega a los usuarios. Esto
hace que las actualizaciones no solo
sean más oportunas, sino que también
es más probable que se apliquen.
Descripción general
La protección de la información confidencial en
los dispositivos de punto de conexión suele implicar
una gran cantidad de configuración manual.
Estas tareas se vuelven cada vez menos prácticas
con una fuerza de trabajo dispersa entre muchas
ubicaciones diferentes.
Por lo tanto, muchas organizaciones están
optando por migrar a soluciones basadas en la
nube que combinan la protección de dispositivos,
la protección de la información y la protección
de la identidad. La administración de dispositivos
móviles (MDM) basada en la nube elimina los
cuellos de botella y garantiza que el software
y los sistemas operativos de los dispositivos
estén siempre actualizados.
Consideraciones del
dispositivo
La seguridad de puntos de conexión
comienza con el diseño del dispositivo
y continúa durante todo el ciclo de vida
del dispositivo, desde la implementación
hasta el final de la vida útil. Una estrategia
de seguridad óptima permite que los
administradores controlen incluso el nivel
más mínimo de configuración de hardware
sin tener que tocar la máquina.
Administrar
y proteger los
dispositivos remotos
4. 4
Tres maneras de reducir los riesgos de seguridad de los puntos
de conexión de una fuerza de trabajo remota
Escenario 1: Implementar un nuevo dispositivo
A Natalie se le envió a su domicilio un nuevo Surface Book 3. En el pasado, TI tendría que
haber configurado manualmente un dispositivo, con una imagen de software personalizada y
la configuración necesaria, antes de la implementación para permitir que Natalie se conectara
a la red corporativa. Después de recibir el nuevo dispositivo, Natalie hubiese iniciado sesión y
hubiese tenido que seguir una serie de tareas que consumen mucho tiempo para finalizar la
configuración antes de poder acceder a sus aplicaciones y servicios de trabajo.
Pero ahora:
Cuando Natalie enciende su
Surface Book 3, Autopilot
ofrece una experiencia de
configuración personalizada
basada en el perfil asignado
a su dispositivo.
Intune también se
integra con el dominio
de Azure Active Directory
de la empresa, por lo
que Natalie tiene acceso
a todas las aplicaciones
y datos empresariales
pertinentes sin tener que
crear un ID de usuario y
una contraseña adicionales.
Natalie no necesita llevar
el dispositivo a TI para
su configuración manual,
ya que todo se puede
hacer automáticamente.
Autoriza que Intune administre el
dispositivo, y todas las directivas,
aplicaciones y configuraciones
de TI pertinentes se aplican
automáticamente, sin riesgo
de error del usuario.
La primera vez que inicia
sesión en su correo
electrónico, se le pide
a Natalie que se inscriba
en Microsoft Intune.
La protección de dispositivos es un componente
fundamental de un enfoque de varias capas
para la seguridad.
5. 5
Azure Information Protection le permite
clasificar, etiquetar y proteger los datos
en función de su confidencialidad. Puede
utilizar el servicio para garantizar que los
datos confidenciales, como los números de
seguridad social, las fechas de nacimiento,
las direcciones y la información de la tarjeta
de crédito estén debidamente etiquetados
y clasificados. Azure Information Protection
puede clasificar los datos de forma automática
o según las recomendaciones del usuario.
Los dispositivos Surface Pro, Surface
Laptop y Surface Book incluyen un chip de
Módulo de plataforma segura (TPM) que
permite que sea rápido y fácil autenticar
dispositivos y cifrar datos. El chip de TPM
funciona con el cifrado de BitLocker en
Windows 10 para proteger los datos
contra el acceso no autorizado.
Descripción general
La protección de la información de su empresa
contra la pérdida, el robo y el uso indebido
se vuelve más crítica, y más compleja, con una
fuerza de trabajo dispersa.
Para muchas organizaciones, la mejor manera
de seguir cumpliendo con la privacidad
de los datos y otras normativas es con una
solución basada en la nube que puede
ayudarlo a clasificar y proteger la información,
independientemente de dónde se almacene
o con quién se comparta. Una solución
moderna de protección de la información
puede descubrir automáticamente la
información que aparece, aplicar controles
personalizados en función de cómo se
clasifican y aplicar acciones basadas en
directivas a la información confidencial.
Consideraciones del dispositivo
Junto a una solución en la nube
para la protección de la información,
los dispositivos que elija también
desempeñan un papel importante en la
protección de los datos confidenciales.
Por ejemplo, las soluciones modernas
de inicio de sesión biométrico ofrecen
una mejor protección que las contraseñas,
gracias al uso de huellas dactilares
y reconocimiento facial. Además, algunos
dispositivos ofrecen cifrado de datos
instantáneo e integrado, sin necesidad
de configuración adicional por parte
de TI, por lo que no se puede acceder
a la información en el disco duro si
se pierde o se roban el dispositivo.
Proteger la información
de la empresa
6. 6
Tres maneras de reducir los riesgos de seguridad de los puntos
de conexión de una fuerza de trabajo remota
Escenario 2: Mantener seguros los datos remotos
A Anna se le configuró el acceso remoto a su trabajo a través de Exchange Online, pero
a menudo recibe información confidencial que podría ser un riesgo si se pierde o se la roban.
Con el sistema de acceso remoto correcto en uso a través del Windows Virtual Desktop,
es posible acceder a esa información a través de aplicaciones administradas en su dispositivo,
lo que elimina cualquier punto ciego de seguridad.
Los correos electrónicos
no pueden copiarse en las
aplicaciones personales por error
ni publicarse en las redes sociales.
Las directivas también
pueden aplicarse para
detectar automáticamente
los datos confidenciales
(como la información de
la tarjeta de crédito) y aplicar
de manera automática la
protección (como No reenviar).
Si los archivos están cifrados, el software de
Anna no puede abrirlos sin primero ponerse
en contacto con el servicio en la nube para
comprobar su identidad y determinar qué
derechos de acceso tiene.
La seguridad basada en
la nube permite a las
organizaciones proteger la
exposición de la información
confidencial en tránsito y en
reposo, mediante el uso de
procesos automatizados
para aplicar controles en
tiempo real a todas las
aplicaciones en la nube.
7. 7
Windows Hello para empresas le permite
reemplazar sus contraseñas con una sólida
autenticación de dos factores (2FA) en Surface
y otros equipos con Windows 10. Use una
credencial vinculada a su dispositivo junto con
un PIN, una huella dactilar o reconocimiento
facial para proteger sus cuentas.
Fast Identity Online (FIDO) es un estándar abierto
para la autenticación sin contraseña. Los usuarios
de dispositivos con Windows 10 pueden usar claves
de seguridad de FIDO2, en forma de una clave
de seguridad externa o una clave de plataforma
integrada en un dispositivo, para iniciar sesión en
sus dispositivos Azure AD o dispositivos híbridos
unidos a Azure AD, y obtener un inicio de sesión
único en sus recursos locales y en la nube. Los
usuarios también pueden iniciar sesión en los
exploradores compatibles. Las claves de seguridad
de FIDO2 son una excelente opción para las
empresas que son muy sensibles a la seguridad
o que tienen empleados que pueden no estar
dispuestos o ser incapaces de usar su teléfono
como segundo factor.
Descripción general
Muchas empresas han adoptado una solución
de inicio de sesión único (SSO) que permite
a los usuarios acceder a varias aplicaciones
con solo una credencial. La consolidación
de inicios de sesión en un único conjunto de
credenciales mejora la seguridad al reducir la
superficie de ataque (cuantas más contraseñas
se utilicen, mayor será la oportunidad para que
los atacantes se aprovechen de contraseñas
débiles).
Sin embargo, a medida que crece la popularidad
de las aplicaciones en la nube, ya no basta con
confiar únicamente en un SSO en el sitio. La
creación de una conexión directa permanente
entre su solución de SSO y cada aplicación en la
nube, para cada usuario, es demasiado compleja
de administrar. Un enfoque más simple es usar
una solución en la nube para la administración
de identidades.
La confirmación de identidad de un solo punto
ya no es suficiente. La autenticación multifactor
es más segura, y no necesita ser una carga para
la organización o sus usuarios.
Consideraciones del dispositivo
Además de la conveniencia que aporta el SSO a la
forma en que trabajan las personas, hay nuevas
tecnologías de hardware que ayudan a impulsar
la seguridad basada en la identidad. Por ejemplo,
los dispositivos Surface se configuran de forma
inmediata con "contenedores" que aíslan las
aplicaciones de otros procesos para protegerlos
del uso indebido.
Elegir hardware que admita estos nuevos
métodos, en combinación con la administración
de identidades basada en la nube, le ayudará
a crear una defensa sólida contra las crecientes
amenazas de hoy en día.
Por ejemplo, hay cada vez más dispositivos
disponibles con la autenticación de huella dactilar
o el escaneo de retina, además de los códigos
de acceso tradicionales, así como software de
uso inmediato que aísla y endurece el sistema de
claves y los secretos de usuario contra los ataques.
Proteger las identidades
8. 8
Tres maneras de reducir los riesgos de seguridad de los puntos
de conexión de una fuerza de trabajo remota
Escenario 3: Cuando se produce una amenaza
Chris eligió una contraseña fácil de adivinar y un hacker asumió su identidad,
poniendo en riesgo datos y recursos empresariales valiosos. Anteriormente,
esto habría sido un punto ciego de seguridad significativo.
Sin embargo:
Con la seguridad impulsada
por la identidad, el personal
recibirá una advertencia
sobre los riesgos de forma
proactiva, tan pronto como
se produzca una actividad
sospechosa.
Con Windows Hello,
TI puede reemplazar
las contraseñas en
conjunto con una sólida
autenticación de dos
factores mediante un
PIN o datos biométricos.
Las soluciones avanzadas
también pueden detectar
actividades inusuales
mediante el análisis
del tráfico de SSO y el
aprendizaje de cómo
es el día típico para Chris,
por lo que si comienza
a acceder a aplicaciones
y datos atípicos, se
generará una alerta.
Del mismo modo, si un tipo de
dispositivo que usa la identidad
de Chris es diferente del que utiliza
normalmente (o si el dispositivo
está infectado con malware),
se notificará al personal.
Si "Chris" inicia sesión en
su cuenta de Alemania
y cinco minutos después
inicia sesión en Estados
Unidos, se marcará
la actividad como
sospechosa.
La administración de identidades es un componente
fundamental de los modelos de seguridad
avanzados, como la arquitectura de seguridad
de Confianza Cero.